江民专杀工具区 收藏本版 今日: 0 主题: 6

4083 0

“极速波”(I-Worm/Zotob)专杀

[复制链接]
发表于 2007-1-22 21:47:05 | 显示全部楼层 |阅读模式
软件名称:“极速波”(I-Worm/Zotob)专杀

软件大小:205 KB
查杀引挚:1.0版
操作系统:Win2003/XP/2000/NT/9x/ME
更新日期:2005.02.17
推荐级别:
发布公司:江民科技

“极速波”(I-Worm/Zotob)介绍:
利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。病毒具体技术特征如下:1.病毒运行后,将创建下列文件:%SystemDir%\botzor.exe,22528字节
病毒名称:极速波(I-Worm/Zobot)
病毒类型:蠕虫、后门
病毒大小:22528字节
传播方式:网络
危害程度:★★★

2005年8月15日,江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。

病毒具体技术特征如下:
1. 病毒运行后,将创建下列文件:
%SystemDir%\botzor.exe, 22528字节




2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
这样,在Windows启动时,病毒就可以自动执行。




3. 通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。

4. 在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。




5. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并有下列文本:
MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!

针对该病毒,KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户,请注意及时升级病毒库,开启实时监控,立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x
您需要登录后才可以回帖 登录 | 注册

本版积分规则

傲天阁游戏公会
联系我们
咨询电话 : 020-88888888
事务 QQ : 85075421
电子邮箱 : admin@admin.com

小黑屋|手机版|Archiver|傲天阁游戏公会 ( 粤ICP备14058347号 )|免责声明

GMT+8, 2024-11-15 06:50 , Processed in 0.096146 second(s), 6 queries , Redis On.

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表